两名安全研究人员展示了 TikTok 的缺陷如何允许黑客从该应用程序的任何用户的帐户中广播视频。当针对流行帐户进行攻击时,这种攻击的影响范围可能会很大。研究人员设法传播来自世界卫生组织和英国红十字会 TikTok 帐户的虚假冠状病毒视频。
想象一下您正在浏览发布的视频的场景抖音然后您突然发现您未上传的内容正在从您的帐户中传输。这确实是可能的,两位研究人员 Tommy Mysk 和 Talal Haj Bakry 证明了这一点。他们刚刚发布了一份报告,表明黑客有可能替换任何 TikTok 帐户上的视频。
与所有社交网络和消息应用程序一样,抖音是基于内容分发网络 (CDN)按地理分布在其平台上发布的内容。与大多数竞争对手不同,TikTok 选择通过不安全的 HTTP 协议分发视频。
在此过程中,重要的应用程序超过十亿用户全球范围内提高了服务器的数据传输性能。这是该协议的主要优点,但这种选择是以牺牲用户安全为代价的。事实上,HTTP 流量很容易被恶意行为者拦截甚至转移。
通过利用 HTTP 协议中的弱点,攻击者可以将 TikTok 用户发布的视频与不同的视频交换,包括来自热门帐户的视频。 TikTok 上发布的所有视频都会通过不同的 CDN 分发给用户,这些 CDN 将视频路由给观看视频的用户。正如研究人员所解释的,使用未加密的 HTTP 协议而不是 HTTPS 使得中间人类型攻击。
换句话说,黑客可以干预 CDN 和最终用户之间,有可能读取传输的数据包,甚至通过用来自其他服务器的流替换它们来更改它们。 “因此,攻击者可以在垃圾邮件视频中广播假新闻,而不是名人或可信帐户实际发布的内容。”
为了实现这一目标,黑客必须首先将目标用户发送到模仿 TikTok CDN 地址的虚假服务器,从而成功破坏目标用户的 DNS。这个任务显然不是那么简单,因为黑客必须访问数千个用户的路由器才能更改 DNS 设置。然而,完全有可能流行的 DNS,如 ISP 的 DNS直接被黑客攻击,将互联网用户的流量路由到恶意服务器。在这种情况下,TikTok 上的虚假视频可能会传播给数百万用户。
研究人员发表了一个概念证明,其中包括传播假冠状病毒视频来自世界卫生组织或英国和美国红十字会等可信账户。然而,他们安排只有连接到自己网络的用户才能看到视频(修改本地网络的 DNS 设置)。
最后,在撰写本文时,此缺陷仍然可以被利用。研究人员建议社交网络改用协议受到 Google 等公司大力捍卫的安全 HTTPS。 TikTok 的反应仍在等待。
来源 :马斯克博客
询问我们最新的!
太阳系中行星的略微倾斜和偏心的轨道长期以来一直引起科学家的兴趣。一项新的研究提出了一个令人着迷的理论:来自另一个恒星系统的巨大物体会破坏其最初的组织。太阳系...
消息
